IT-аудит: контроль прав доступа и разграничения полномочий
Автор: Даудов С.Д., Дуйсалиева А.М.
Журнал: Вестник Волгоградского государственного университета. Экономика @ges-jvolsu
Рубрика: Управление экономическим развитием
Статья в выпуске: 1 т.27, 2025 года.
Бесплатный доступ
IT-аудит играет большую роль в обеспечении безопасности и надежности использования информационных систем организации. Он отвечает за оценку эффективности внутреннего контроля организации в области информационной безопасности, выявление потенциальных рисков и путей для их минимизации. В статье определены основные направления проведения IT-аудита, более подробно рассмотрен аудит распределения прав доступа к информационным системам, поскольку наделение пользователей излишними правами доступа может привести к реализации следующих рисков: недоступность сервисов и информационных систем компании, компрометация данных, проведение мошеннических операций, совершение непреднамеренных ошибок. В статье более подробно рассмотрен принцип разделения полномочий (SoD) как механизм обеспечения надежности процесса управления доступом, снижения рисков, обозначенных в этой области. Приведен алгоритм действий, которые необходимо предпринять в целях внедрения SoD-системы в организации, а именно: проанализировать бизнес-процессы, оценить риски, разделить процессы и функции, распределить роли и ответственность, внедрить контроли доступа, проводить мониторинг процессов и функций. В качестве одной из практик по внедрению системы разделения обязанностей предложено формирование SoD-матрицы как для бизнес-процессов в целом, так и для отдельных информационных систем.
IT-аудит, IT-риски, управление доступом, принцип разделения полномочий, конфликт полномочий, SoD-матрица, информационная безопасность
Короткий адрес: https://sciup.org/149148527
IDR: 149148527 | УДК: 65.012.72 | DOI: 10.15688/ek.jvolsu.2025.1.11
IT Audit: Control of Access Rights and Segregation of Duties
IT audit plays a major role in ensuring the safety and reliability of the use of an organization’s information systems. It is responsible for assessing the effectiveness of the organization’s internal control in the field of information security, identifying potential risks, and finding ways to minimize them. The article defines the main areas of conducting an IT audit and examines in more detail the audit of the distribution of access rights to IT systems, since granting users excessive access rights can lead to the implementation of the following risks: unavailability of the company’s services and information systems, data compromise, fraudulent transactions, and unintentional errors. The article examines in more detail the principle of segregation of duties (SoD) as a mechanism for ensuring the reliability of the access management process and reducing the risks identified in this area. An algorithm of actions that must be taken to implement an SoD system in an organization is given, namely: analyze business processes, assess risks, separate processes and functions, distribute roles and responsibilities, implement access controls, and monitor processes and functions. As one of the practices for implementing a system of segregation of duties, the formation of an SoD matrix is proposed for both business processes in general (segregation of duties by positions) and for individual information systems (segregation of duties by roles).
